WO2022003907A1

WO2022003907A1 - スミッシング詐欺防止システム、スミッシング詐欺防止方法、および、スミッシング詐欺防止プログラム

Info

Publication number: WO2022003907A1
Application number: PCT/JP2020/026032
Authority: WO
Inventors: るり子松浦; 修治木村; 太一長田; 伸宏木村; 崇安永; 昌彦野口; 諒長岡; 貴都戸田
Original assignee: 日本電信電話株式会社
Priority date: 2020-07-02
Filing date: 2020-07-02
Publication date: 2022-01-06
Also published as: JPWO2022003907A1; US20230179966A1

Abstract

スミッシング詐欺防止システムであって、ＳＭＳメッセージを受信する受信部１１と、前記ＳＭＳメッセージの発信元電話番号が、企業情報データベース１６に登録された電話番号か否かを判定する判定部１２と、判定結果を通信履歴データベース２２に登録する登録部１３と、前記判定結果を前記ＳＭＳメッセージの宛先の端末３に提示する提示部３１とを備える。

Description

スミッシング詐欺防止システム、スミッシング詐欺防止方法、および、スミッシング詐欺防止プログラム

　本発明は、スミッシング詐欺防止システム、スミッシング詐欺防止方法、および、スミッシング詐欺防止プログラムに関する。

　近年、インターネットバンキングによる不正送金被害が増大し、特に、ＳＭＳを使ってフィッシングサイトに誘導させるスミッシング詐欺が増加している。スミッシング詐欺防止として、不正電話番号ＤＢを用いてユーザに警告する技術（非特許文献１）、ＳＭＳアプリでユーザが受信するＳＭＳの安全性を担保する技術（非特許文献２）、ユーザが指定した電話番号以外のＳＭＳの受信を拒否するサービスなどがある。

トビラシステムズ、"トビラシステムズの電話番号データベースを使用した「迷惑電話対策」機能が"ワイモバイル"の「かんたんスマホ」に標準搭載開始。「優良迷惑電話防止機器」にも認定"、［online］、インターネット＜URL: https://tobila.com/news/release/p376/＞ engadget、"Androidのメッセージアプリにフィッシング対策機能追加。認証済み企業からのSMSにバッジ表示へ"、［online］、インターネット＜URL:https://japanese.engadget.com/2019/12/13/android-sms/＞

　ＳＭＳを受け取ったユーザは、発信元が正当なものか一目で判断つかず、早期対応を促すメッセージ（例えば「不正利用」、「法的手続き」等のキーワードを含むメッセージ)が多いため、インターネット等で詐欺の事例を確認せずに、メッセージ内のＵＲＬや電話番号にアクセスしてしまい、詐欺に遭遇している。すなわち、現状では、ユーザ側で正当な発信元かどうか容易に判断しづらい。

　また、上述の技術やサービスでは、被害が確認されないと不正電話番号ＤＢに登録されない、専用のＳＭＳアプリを使用する必要がある、ユーザは認知済みの人としか連絡がとれずＳＭＳ認証を用いるサービスを利用できないなどの課題がある。

　本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、ＳＭＳを受け取ったユーザが、発信元が安全なものかを容易に確認できるスミッシング詐欺防止システム、スミッシング詐欺防止方法、および、スミッシング詐欺防止プログラムを提供することにある。

　上記目的を達成するため、本発明の一態様は、スミッシング詐欺防止システムであって、ＳＭＳメッセージを受信する受信部と、前記ＳＭＳメッセージの発信元電話番号が、企業情報データベースに登録された電話番号か否かを判定する判定部と、判定結果を通信履歴データベースに登録する登録部と、前記判定結果を、前記ＳＭＳメッセージの宛先の端末に提示する提示部とを備える。

　本発明の一態様は、スミッシング詐欺防止システムが行うスミッシング詐欺防止方法であって、ＳＭＳメッセージを受信する受信ステップと、前記ＳＭＳメッセージの発信元電話番号が、企業情報データベースに登録された電話番号か否かを判定する判定ステップと、判定結果を通信履歴データベースに登録する登録ステップと、前記判定結果を、前記ＳＭＳメッセージの宛先の端末に提示する提示ステップと、を行う。

　本発明の一態様は、上記スミッシング詐欺防止システムとしてコンピュータを機能させるスミッシング詐欺防止プログラムである。

　本発明によれば、ＳＭＳを受け取ったユーザが、発信元が安全なものかを容易に確認できるスミッシング詐欺防止システム、スミッシング詐欺防止方法、および、スミッシング詐欺防止プログラムを提供することができる。

実施形態のスミッシング詐欺防止システムの構成図である。企業情報ＤＢの一例を示す図である。通信履歴ＤＢの一例を示す図である。ＳＭＳサーバの動作を示すフローチャートである。ＷＥＢサーバの動作を示すフローチャートである。変形例のＳＭＳサーバの動作を示すフローチャートである。ハードウェア構成例である。

　以下、本発明の実施の形態について、図面を参照して説明する。

　（スミッシング詐欺防止システムの構成）
　図１は、本実施形態のスミッシング詐欺防止システムの構成を示す構成図である。図示するスミッシング詐欺防止システムは、ＳＭＳサーバ１と、Ｗｅｂサーバ２とを備える。ＳＭＳサーバ１およびＷｅｂサーバ２は、携帯電話の通信サービスを提供する通信事業者（キャリア）が運用および管理するサーバである。なお、図１では、ＳＭＳサーバ１とＷｅｂサーバ２とは別のサーバであるが、これらのサーバを統合した１つのサーバ（スミッシング詐欺防止サーバ）が、ＳＭＳサーバ１とＷｅｂサーバ２の機能を備えていてもよい。

　ＳＭＳサーバ１は、ＳＭＳ（Short Message Service）を提供するサーバである。ＳＭＳサーバ１は、スマートフォン、パソコンなどの電話機能を備える端末３から発信されたＳＭＳ（Short Message Service）のメッセージ（以下、「ＳＭＳメッセージ」）を、宛先の端末３に送信する。図示するＳＭＳサーバ１は、受信部１１と、判定部１２と、登録部１３と、送信部１４と、受信ＤＢ１５（受信データベース）と、企業情報ＤＢ１６（企業情報データベース）とを備える。

　受信部１１は、ＳＭＳメッセージを受信し、受信ＤＢ１５に格納する。判定部１２は、受信したＳＭＳメッセージの発信元電話番号が、企業情報ＤＢ１６に登録された電話番号か否かを判定する。

　図２は、企業情報ＤＢ１６の一例を示す図である。企業情報ＤＢ１６には、企業がＳＭＳメッセージを送信する際に発信元の電話番号として使用する電話番号が登録されている。図示する企業情報ＤＢ１６は、企業毎に、契約者名（企業名）と、電話番号とを有する。

　登録部１３は、判定部１２の判定結果を、ＷＥＢサーバ２の通信履歴ＤＢ２２（通信履歴データベース）に登録する。本実施形態では、登録部１３は、判定結果とともにＳＭＳメッセージの受信時刻と、発信元電話番号と、宛先電話番号とを通信履歴ＤＢ２２に登録する。送信部１４は、受信部１１が受信したＳＭＳメッセージを宛先の電話番号の端末３に送信する。

　ＷＥＢサーバ２は、各種情報をユーザに提供するサーバである。本実施形態のＷＥＢサーバ２は、提示部２１と、通信履歴ＤＢ２２とを備える。提示部２１は、ＳＭＳサーバ１の判定部１２による判定結果を、ＳＭＳメッセージの宛先の端末３に提示する。具体的には、提示部２１は、端末３からの要求に応じて、通信履歴ＤＢ２２に登録された前記端末３宛てのＳＭＳメッセージの受信履歴を、前記端末３に送信する。

　図３は、通信履歴ＤＢ２２の一例を示す図である。通信履歴ＤＢ２２には、ＳＭＳサーバ１が送受信したＳＭＳメッセージの通信履歴が格納されている。図示する通信履歴ＤＢ２２は、ＳＭＳメッセージ毎に、受信日時と、発信元電話番号と、宛先電話番号と、判定結果とを有する。判定結果は、ＳＭＳサーバ１が受信したＳＭＳメッセージの発信元電話番号が、企業情報ＤＢ１６に登録された電話番号か否かを示すものである。本実施形態では、発信元電話番号が企業情報ＤＢ１６に登録された電話番号の場合は、「安全」が設定され、発信元電話番号が企業情報ＤＢ１６に登録されていない電話番号の場合は、「注意」が設定される。

　（スミッシング詐欺防止システムの動作）
　図４および図５は、本実施形態のスミッシング詐欺防止システムの動作を示すフローチャートである。

　図４は、ＳＭＳサーバ１の動作を示すフローチャートである。ＳＭＳサーバ１の受信部１１は、ＳＭＳメッセージを受信し、受信ＤＢ１５に格納する（ステップＳ１１）。送信部１４は、受信したＳＭＳメッセージを、当該ＳＭＳメッセージに設定された宛先電話番号の端末３に送信する（ステップＳ１２）。これにより、宛先の端末３には、例えば図示するようなＳＭＳメッセージ４１が表示される。

　そして、判定部１２は、Ｓ１１で受信したＳＭＳメッセージの発信元電話番号が企業情報ＤＢ１６に登録された電話番号か否かを判別する（ステップＳ１３）。すなわち、判定部１２は、ＳＭＳメッセージが企業情報ＤＢ１６に登録された信頼のある企業が発信した安全なＳＭＳメッセージであるか否かを判定する。

　電話番号が企業情報ＤＢ１６に登録された電話番号の場合（ステップＳ１３：ＹＥＳ）、登録部１３は、判定結果として「安全」を含む通信履歴を通信履歴ＤＢ２２に登録する（ステップＳ１４）。通信履歴には、「安全」の判定結果の他に、ステップＳ１１で受信したＳＭＳメッセージの受信日時と、発信元電話番号と、宛先電話番号とが含まれる。

　発信元電話番号が企業情報ＤＢ１６に登録されていない電話番号の場合（ステップＳ１３：ＮＯ）、登録部１３は、判定結果として「注意」を含む通信履歴を通信履歴ＤＢ２２に登録する（ステップＳ１５）。通信履歴には、「注意」の判定結果の他に、ステップＳ１１で受信したＳＭＳメッセージの受信日時と、発信元電話番号と、宛先電話番号とが含まれる。

　なお、ＳＭＳサーバ１の動作は、図４に示すフローチャートの順番に限られない。例えば、ステップＳ１２のＳＭＳメッセージの送信は、ステップＳ１４またはステップＳ１５の後に行ってもよい。

　図５は、ＷＥＢサーバ２の動作を示すフローチャートである。ＳＭＳサーバ１での判定後、ＳＭＳメッセージを受信した端末３のユーザは、ＷＥＢサーバ２にアクセスし、受信したＳＭＳメッセージが安全か否かを確認する。

　具体的には、ＳＭＳメッセージを受信したユーザは、端末３を用いて、ＷＥＢサーバ２が提供する公式サイトにアクセスし、ＳＭＳメッセージの受信履歴を要求する。ＷＥＢサーバ２の提示部２１は、端末３から前記要求を受信する（ステップＳ２１）。提示部２１は、通信履歴ＤＢ２２の宛先電話番号に要求元の端末３の電話番号が設定された通信履歴を抽出して、受信履歴ＷＥＢページ５１を生成する（ステップＳ２２）。提示部２１は、生成した受信履歴ＷＥＢページ５１を要求元の端末３に送信する（ステップＳ２３）。要求元の端末３は、受信履歴ＷＥＢページ５１を表示する。

　図示する受信履歴ＷＥＢページ５１には、ＳＭＳメッセージ毎に、受信日時と、発信元の電話番号（または電話番号に埋め込まれた会社名）と、ＳＭＳサーバ１が判定した判定結果（「安全」、「注意」）とが設定されている。これにより、ユーザは、受信したＳＭＳメッセージが安全なものか、あるいは、注意すべきものかを容易に確認することができる。

　（変形例）
　本変形例では、ＳＭＳサーバ１は、ＳＭＳメッセージを受信すると、当該ＳＭＳメッセージを宛先の端末３に送信するととともに、判定部１２による判定結果を含む通知用ＳＭＳメッセージを宛先の端末３に送信する。具体的には、本変形例のＳＭＳサーバ１は、判定結果のユーザへの提示方法として、受信したＳＭＳメッセージの判定結果を含む通知用ＳＭＳメッセージを生成し、受信したＳＭＳメッセージの宛先の端末３に送信する。本変形例のスミッシング詐欺防止システムの構成は、図１と同様である。

　図６は、上記実施形態の変形例のＳＭＳサーバ１の動作を示すフローチャートである。図６のステップＳ３１からステップＳ３５は、図４のステップＳ１１からステップＳ１５と同じであるため、ここでは説明を省略する。ステップＳ３６で、判定部１２は、Ｓ３１で受信したＳＭＳメッセージの判定結果を含む通知用ＳＭＳメッセージ６２を生成し、ＳＭＳメッセージの宛先の端末３に通知用ＳＭＳメッセージ６２を送信する。

　これにより、宛先の端末３には、例えば図示するような通知用ＳＭＳメッセージ６２が表示される。通知用ＳＭＳメッセージ６２には、受信日時と、判定部１２が判定した判定結果（「安全」または「注意」）と、発信元（ＳＭＳサーバ１）とが設定されている。

　このように、本変形例のＳＭＳサーバ１は、１つのＳＭＳメッセージを端末３に送信すると、当該ＳＭＳメッセージの判定結果を通知する２つ目の通知用ＳＭＳメッセージを端末３に送信する。これにより、ユーザは、受信したＳＭＳメッセージが安全なものか、あるいは、注意すべきものかを容易に確認することができる。

　なお、ＳＭＳサーバ１の動作は、図６に示すフローチャートの順番に限られない。例えば、ステップＳ３２のＳＭＳメッセージの送信は、ステップＳ３４またはステップＳ３５の後に行ってもよい。

　本変形例においても、ユーザは上記実施形態の図５で説明した受信履歴ＷＥＢページ５１を要求してもよい。あるいは、本変形例では、通知用ＳＭＳメッセージが端末３に送信されるため、図５の受信履歴ＷＥＢページ５１の送信処理は行わなくてもよい。この場合、本変形例のスミッシング詐欺防止システムは、ＳＭＳサーバ１のみを備え、ＳＭＳサーバ１は登録部１３を備えなくてもよい。

　また、本実施形態の他の変形例として、携帯電話の通信事業者の公式アプリ（スマートフォン購入時にインストール済のアプリ）が、ＳＭＳサーバ１の判定部１２が判定した判定結果を、ＳＭＳメッセージを受信した端末３に通知してもよい。

　（実施形態および変形例の効果）
　以上説明した実施形態のスミッシング詐欺防止システムは、ＳＭＳメッセージを受信する受信部１１と、前記ＳＭＳメッセージの発信元電話番号が、企業情報ＤＢ１６に登録された電話番号か否かを判定する判定部１２と、判定結果を通信履歴ＤＢ２２に登録する登録部１３と、前記判定結果を、前記ＳＭＳメッセージの宛先の端末３に提示する提示部２１とを備える。また、変形例の判定部１２は、判定結果を含む通知用ＳＭＳメッセージを生成し、端末３に送信する。

　このように、実施形態および変形例では、ＳＭＳサーバ１内で、企業情報ＤＢ１６とＳＭＳメッセージの発信元の電話番号とを照合して、発信元の電話番号が企業情報ＤＢ１６に登録されているか否かを判定して、ユーザに提示または通知する。すなわち、ホワイトリスト方式を用いるため、被害の未然に防止することができる。また、ＳＭＳサーバ１が判定するため、ユーザは専用のＳＭＳアプリを端末３にインストールする必要がなく、誰でもＳＭＳメッセージの判定結果を利用することができる。また、正当な企業からのＳＭＳ認証を使ったサービスを利用する際に、ユーザは、判定結果を取得することで送信元の信頼性が担保されるため、安心してＳＭＳメッセージを受信できるようになる。

　（ハードウェア構成）
　上記説明したＳＭＳサーバ１およびＷＥＢサーバ２は、例えば、図７に示すような汎用的なコンピュータシステムを用いることができる。図示するコンピュータシステムは、CPU（Central Processing Unit、プロセッサ）９０１と、メモリ９０２と、ストレージ９０３（HDD：Hard Disk Drive、SSD：Solid State Drive）と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える。メモリ９０２およびストレージ９０３は、記憶装置である。このコンピュータシステムにおいて、CPU９０１がメモリ９０２上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、ＳＭＳサーバ１およびＷＥＢサーバ２の各機能は、ＳＭＳサーバ１用のプログラムの場合はＳＭＳサーバ１のCPUが、ＷＥＢサーバ２用のプログラムの場合はＷＥＢサーバ２のCPUが、それぞれ実行することにより実現される。

　また、ＳＭＳサーバ１およびＷＥＢサーバ２は、１つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また、ＳＭＳサーバ１およびＷＥＢサーバ２は、コンピュータに実装される仮想マシンであっても良い。

　ＳＭＳサーバ１用のプログラムおよびＷＥＢサーバ２用のプログラムは、HDD、SSD、USB（Universal Serial Bus）メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。

　なお、本発明は上記実施形態および変形例に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。

　１　：ＳＭＳサーバ
　１１：受信部
　１２：判定部
　１３：登録部
　１４：送信部
　２　：ＷＥＢサーバ
　２１：提示部
　２２：通信履歴ＤＢ
　３　：端末

Claims

　ＳＭＳメッセージを受信する受信部と、
　前記ＳＭＳメッセージの発信元電話番号が、企業情報データベースに登録された電話番号か否かを判定する判定部と、
　判定結果を通信履歴データベースに登録する登録部と、
　前記判定結果を、前記ＳＭＳメッセージの宛先の端末に提示する提示部とを備える
　スミッシング詐欺防止システム。
　前記提示部は、前記端末からの要求に応じて、前記通信履歴データベースに登録された前記端末宛てのＳＭＳメッセージの受信履歴を前記端末に送信する
　請求項１記載のスミッシング詐欺防止システム。
　前記判定部は、前記判定結果を含む通知用ＳＭＳメッセージを生成し、前記端末に送信する
　請求項１または２記載のスミッシング詐欺防止システム。
　スミッシング詐欺防止システムが行うスミッシング詐欺防止方法であって、
　ＳＭＳメッセージを受信する受信ステップと、
　前記ＳＭＳメッセージの発信元電話番号が、企業情報データベースに登録された電話番号か否かを判定する判定ステップと、
　判定結果を通信履歴データベースに登録する登録ステップと、
　前記判定結果を、前記ＳＭＳメッセージの宛先の端末に提示する提示ステップと、を行う
　スミッシング詐欺防止方法。
　請求項１から３のいずれか１項に記載のスミッシング詐欺防止システムとしてコンピュータを機能させるスミッシング詐欺防止プログラム。